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摘 要 : Bullens 等 人 在 CSI-Fish 中 留 下 一 个 开放 问题 ， 即 设计 一 个 识别 协议 ， 允 许 系统 挑战 空间 是 Zr ， 而 不 是 小 
集合 {-5,…,5S} 。 本 文 提 出 了 一 个 基于 超 奇 异同 源 的 零 知 识 证 明 方 案 。 该 方案 将 挑战 C 作为 一 个 同 源 ， 从 而 解决 了 这 
一 问题 ， 并 实现 了 更 小 的 稳固 性 误差 以 及 公 角 长 度 。 该 方案 也 可 以 通过 Fiat-Shamir 变换 为 非 交 互 零 知识 证 明 ， 进 而 
可 以 在 量子 随机 预言 下 实现 基于 超 奇 异同 源 的 签名 方案 以 及 群 签名 方案 。 且 本 文 分 析 了 方案 的 安全 性 以 及 正确 性 
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Zero-knowledge proof and group signatures based on supersingular isogeny 
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Abstract: Bullens et al. left an open problems in CSI-Fish is to devise a identification protocol that allows for the challenge 


set to be Zy rather than the small set {~S,.,S}.This paper proposed a zero-knowledge proof scheme based on supersingular 
isogeny. This scheme addresses the open problem by taking the challenge C as a isogeny , and reduces the soundness error 
and the size of public key. This scheme can be turned into non-interactive zero-knowledge proof scheme using the Fiat-Shamir 
transform. Then signature scheme and group signature Scheme based on supersingular isogeny can be implemented under the 
quantum random oracles model. And this paper analyzes the security and correctness of these schemes. 
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差 以 及 公 钥 长 度 , 本 文 仅 需 一 个 椭 


线 作为 公 钥 。 基 于 该 


到 


0 引言 证 明 系 统 , 本 文 构造 了 基于 超 奇异 椭圆 曲线 同 源 的 签名 方案 
同 源 密码 是 后 量子 密码 学 的 一 个 很 有 发 展 前 景 和 研究 价值 。 以 及 群 签名 方案 ， 并 对 签名 方案 的 进行 了 安全 性 证 明 。 
的 候选 者 。 同 源 是 两 条 椭圆 曲线 之 间 保 持 基点 的 同 态 映 射 , 是 。 1 普 景 知识 
一 种 群 同 态 帆 。 基 于 同 源 的 密码 系统 在 开始 主要 研究 通常 曲线 TN 
23 但 因为 通常 曲线 同 源 问题 存在 亚 指数 时 间 的 量子 算法 , 而 ”1.1 超 奇 异 椭圆 曲线 及 同 源 
Biasse 等 人 外 研究 发 现 超 奇 异同 源 问题 的 量子 算法 为 指数 时 间 ， 椭圆 曲线 之 间 的 同 源 p:E-* 互 为 一 个 态 射 ,也 是 群 同 态 
到 此 目前 同 源 密码 大 多 是 超 奇异 椭圆 曲 线 上 的 方案 。 9(O:)=O。Tate 指出 03: 有 限 域名 上 的 两 条 椭圆 曲线 E, El 
C 目前 构造 同 源 签名 的 基础 主要 是 以 下 两 个 同 源 问题 : 计 ” 是 同 源 的 当 且 仅 当 #E(8)=#6(E)。 
CS 算 超 奇异 同 源 (CSSD 问 题 操 和 类 和 群 作用 逆 问 题 (GAIP)I9。 且 基 对 于 同 源 Jo: 五 一 五 ， 当 8=B 时 称 为 自 同 态 。 椭 圆 曲 线 的 
' 于 同 源 的 签名 大 多 是 结合 Fiat-Shamir 变换 来 构造 的 31。 在 自 同 态 集 


用 End(E) 表示 ， 有 具有 点 加 法 和 函数 复合 运算 的 环 结 
[9,10] 中 提出 的 基于 CSSI 的 签名 方案 ,即使 在 最 优化 的 变 体 。 构 [ 多 。 在 End(5) 中 , 已 的 Frobenius 自 同 态 zt 满足 特征 方程 : 
[10] 中 也 产生 至 少 12KB 大 小 的 签名 。 另 一 方面 , 依靠 GAIP 如-tr 144=0,t 称 为 Frobenius 迹 。 当 且 仅 当 三 0 时 ,曲线 
并 采用 Fiat-Shamir with aborts 方法 , De Feo 和 Galbraith 提出 是 超 奇 异 的 。Fp- 有 理 自 同 态 环 End,(B) 是 虚 二 次 域 K=Q 


了 一 个 新 的 签名 方案 , 称 为 SeaSign[l。SeaSign 提供 的 签名 k=Z(Vp) 的 序 O 。 End,(E) 中 总 是 包含 ZI] 这 个 子 环 。 
非常 小 , 在 128 位 安全 级 别 下 小 于 1 王 字 节 。 最 近 ,Beullensb2 设 eA44(O，z) 表示 在 下 上 定义 的 所 有 超 奇异 椭圆 曲线 5 的 
等 人 通过 计算 理 © So SeaSign 并 获得 了 第 一 个 实 。 和 集合, 设 0 是 虚 二 次 域 的 序 rsC 使 得 44(O，7z) 非 空 。 理 想 类 


用 的 基于 同 源 的 签名 方案 , 命名 为 CSI-FiSh。 它 允许 从 理想 ” 群 d(@) 自由 地 和 传递 地 作用 于 集合 sm4(O, xz) ,在 Oo 和 
9 规范 表示 。CSLFiSh End,(E) 之 间 存 在 一 个 Frobenius 映射 使 得 wp(O)=C: 且 
只 需要 390 毫秒 来 签名 或 验证 消息 , 签名 大 小 只 有 263 字 节 。 (7) 一 (加 ) ， 用 x* 表 示 这 一 作用 (9。 最 近 ,， 该 作用 x 被 用 来 设 
对 此 ， 基 于 CSI-FiSh 同 源 特征 的 签名 是 非常 实用 的 。 计 几 种 密码 原 语 一 CSIDH 及 其 延伸 签名 方案 SeaSign、CSI-Fish 

通过 对 CSI-FiSh 方案 以 及 其 他 基于 超 奇 异同 源 签 名 方 等 。 这 几 种 方案 的 安全 性 都 是 基于 类 群 作用 逆 问 题 , 定义 如 下 : 
案 的 研究 与 分 析 ， 本文 提 出 了 一 种 基于 超 奇 异同 源 的 零 知 识 问题 1( 类 和 群 作用 逆 问 题 一 Group Action Inverse Problem: 
证 明 系 统 。 该 系统 改进 了 Bullens 等 人 提出 的 CSI-Fish 中 的 ” GAIP) 给 定 两 个 曲线 B6，E， 其 自 同 态 环 End(&)=End(E)=0 


证 明 系 统 , 解决 了 CSI-Fish 中 提出 的 开放 问题 ,即将 系统 的 ” 找到 一 个 理想 ac0 使 得 B=axE。 
挑战 空间 由 小 集合 {=5+1,5 玫 提升 为 CSIDH-512 中 理想 类 群 1.2 CSI-Fish 
的 阶 数 N。 本 方案 与 CSI-FiSh 方案 相 比 具有 更 小 的 稳固 性 误 Beullens 等 人 提出 了 一 种 基于 CSIDH-512 困难 性 的 有 痪 
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录用 定稿 赵 兴 波 ， 等 : 基于 超 奇 异同 源 的 零 知 识 证 明 及 群 签名 方案 第 39 卷 第 9 期 
签名 方案 。 对 于 在 CSIDH 中 为 CSIDH-512 参数 集 选 择 的 素 。 (1) 则 一 个 签名 方案 $ 是 EUF-CMA 安全 的 0 。 
数 集 1…ls，Beullens 等 人 确定 了 自 同 态 环 的 相关 类 群 是 循环 定理 109 设 R 与 生成 算法 K 是 困难 关系 , 令 (PV) 是 Z 
的 , 由 g 生成 ， 且 阶 数 NE=cl(O) 由 下 式 给 出 协议 中 R 的 证 明 者 和 验证 者 ， 对 于 某 些 整数 c 三 1 具有 c 比 
N=3x37x140718x51593604295295 特 挑战 。 假 设 > 协议 是 完整 的 ,特殊 稳固 的 以 及 诚实 验证 者 
867744293584889x31599414504681 零 知识 的 。 那 么 (K,P,V,c) 是 一 个 规范 的 识别 方案 , 在 被 动 攻 
99585300827874558732204909 击 下 是 安全 的 。 
对 于 任何 理想 ae cl(C) ， 可 以 写作 ao= 里 ， 其 中 as2Zv ， 定理 200 令 了 D 是 一 个 规范 的 认证 方案 , 在 被 动 攻击 下 是 


为 群 是 循环 的 。 只 要 使 用 CSIDH-512 参数 集 , 任何 人 都 可 以 ”安全 的 。 设 S 为 使 用 Fiat-Shamir 变换 从 ID 中 导出 的 签名 方案 。 
对 类 群 元 素 进行 均匀 采样 ， 并 拥有 唯一 的 表示 。 对 于 与 乌 同 在 随机 预言 模型 下 , S 在 选择 消息 攻击 下 是 不 可 伪造 的 。 
源 的 椭圆 曲线 已 ， 简 化 符号 ax Eo=[a] 包 有 了 这 个 符号 , 就 有 ”1.5 群 签名 


J [al([b]B)=[a+b]E 12, 下 面 介 绍 群 签名 的 定义 以 及 安全 模型 。 
1.3 ” 零 知 识 证 明 定义 4 群 签名 。 群 签名 方案 由 下 面 的 五 个 多 项 式 时 间 
零 知 识 证 明 (zero-knowledge proof : ZKP) 是 证 明 者 和 验 算法 组 成 : 
证 者 之 间 的 双方 协议 , 证 明 者 通过 和 验证 者 交互 ， 疝 验证 者 。GSetup: 输入 安全 参数 ， 生 成 系统 公共 参数 和 和 群 公 ， 
证 明 它 知道 一 些 秘密 信息 ,而 除了 声明 本 身 己 经 揭示 的 之 外 ， ” 私 钥 对 (GMs,GMs); 
个 透露 任何 关于 秘密 的 信息 “GyJion: 成 员 加 入 是 由 用 户 和 群 管理 员 执行 的 交互 式 算 
对 于 一 个 语言 LS {01} ,其 中 的 串 x 都 伴随 着 一 个 二 元 法 ， 若 算法 成 功 ， 则 用 户 成 为 有 效 的 群 成 员 ， 并 得 到 公 、 私 钥 
关系 RE {04} x {04} ,存在 w 使 得 (x,w) eR, w 称 为 xEZ 的 证 对 (Us Usa); 
据 (witness)。 参 考 [16], 下面 对 零 知识 证 明 进 行 定 义 : 。GSign: 对 于 给 定 的 消息 m， 其 签名 由 管理 员 和 和 群 成 员 
定义 1 设 (PV) 是 一 个 双方 协议 ， 其 中 V 是 概率 多 项 式 共同 合作 完成 ; 
时 间 (probabilistic polynomial time:PPT) 算 法 , 设 i1, L S 。GvVerify: 验证 者 根据 群 公 钥 和 消息 m 对 签名 进行 验证 ; 
{0 是 具有 二 元 关系 R，R' 的 语言 , 使 得 RC R' 当 仅 当 它 。GTrace: 通过 该 算法 , 管理 员 GM 可 以 找 出 对 消息 m 
满足 下 列 条 件 ， 那么 (PV) 称 为 ，L 具有 完全 性 误差 a, 挑 真正 的 签名 者 。 
战 集 C， 公 共 输 入 x 和 秘密 输入 w 的 协议 。 群 签 名 的 安全 性 定义 需 满足 以 下 性 质 : 
三 轮 形式 (Three-move form): 协议 的 形式 如 下 :证 明 者 P 1) 正确 性 : 对 于 给 定 的 消息 m， 只 有 经 合法 的 群 成 员 运 
在 输入 (x%,w) 时, 计算 承诺 t 并 将 其 发 送 给 验证 者 了。 验证 者 行 签名 算法 产生 的 群 签名 才能 够 被 正确 的 验证 。 
VV 在 输入 x 时 ,选择 一 个 挑战 ce C 并 将 其 发 送 给 已。 证 明 者 2) 不 可 伪造 性 : 只 有 合法 的 群 成 员 通过 和 管理 员 交 互 
向 验证 者 发 送 一 个 响应 r。 根 据 协议 文本 (ic,7r)， 验证 者 最 终 才能 够 产生 被 验证 正确 的 群 签名 。 
接受 或 拒绝 证 明 。 3) 匿名 性 : 只 有 群 管理 员 能 够 确定 签名 者 的 身份 ， 其 他 
证 明 系 统 需要 具有 以 下 三 个 性 质 : 人 只 能 验证 群 签名 是 否 正确 。 
完全 性 (Completeness): 对 于 一 个 诚实 的 证 明 者 了 和 验证 4) 可 跟踪 性 : 当 出 现 矛 盾 争 端的 时 候 , 管理 员 可 以 通过 追 
者 了 当 任 一 (%w) ER， 则 验证 者 接受 的 概率 至 少 为 1-a。 踪 算 法 打开 群 签名 , 识别 出 具体 的 签名 者 身份 ， 并 给 出 证 据 。 
特殊 稳固 性 (Specia Soundness): 存在 一 种 PP7 算法 K( 知 5) 抗 合谋 性 : 即使 多 个 群 成 员 合 谋 在 一 起 ， 也 不 能 产生 
识 提取 器 )， 其 将 满足 < 关 c 的 两 个 接受 文本 (4c,r)，(t,c,7) 作 为 有 效 的 被 管理 员 追 踪 不 到 的 群 签 名 。 


输入 ,并 输出 w ,使 得 (5w) e R' 。 稳 国 性 误差 6=1/C。 Ne 
诚实 验证 者 零 知识 (Honest-Verifier Zero Knowledge: 新 的 零 知识 证 明 以 及 签名 方案 


HVZK): 存在 以 xs 和 ceC 为 输入 的 PPT 模拟 器 , 该 算法 2.1 零 知 识 证 明 的 身份 认证 协议 


输出 (4,7) ,使 得 三 元 组 (4c,7) 与 由 真实 协议 运行 生成 的 协议 对 于 CSIDH-512 参数 集 , CSI-FiSh 指出 其 理想 类 群 是 循 
文本 不 可 区 分 09。 环 的 ， 具 有 已 知 阶 数 N 和 生成 元 gs。 只 要 使 用 CSIDH-512 参 
一 个 3 轮 -特殊 稳固 的 -诚实 验证 者 零 知识 证 明 协 议 , 可 以 应 数 集 , 任何 人 都 可 以 对 类 群 元 素 进行 均匀 采样 ， 并 拥有 唯 
用 Fiat-Shamir 转换 将 其 转换 为 非 交 互 式 零 知 识 证 明 协 议 。 的 表示 。 在 此 基础 上 ， 本 文 描述 了 新 的 基于 超 奇 异同 源 问 题 
定义 2 一 个 规范 的 认证 方案 ID=(K, P，V, c) ,其 中 天 是 的 身份 认证 协议 (如 图 1), 与 CSI-Fish 中 的 身份 认证 协议 相 
概率 多 项 式 时 间 的 密 钥 生 成 算法 ,在 输入 安全 参数 入 时 输出 比 ， 本 文 的 认证 协议 实现 了 更 小 的 稳固 性 误差 (soundness 


一 对 (pk,sk);P 也 是 PPT 算法 , 输入 sk 输出 一 条 消息 m; c > error),， 且 具有 更 小 的 公 钥 长 度 。 


1 是 挑战 的 整数 位 长 度 ; V 是 一 种 确定 性 多 项 式 时 间 验 证 算 零 知识 证 明 协 议 的 设置 如 下 : 
法 ,将 pk 和 证 明文 本 作为 输入 ,输出 0 或 107。 参数 设置 : 选取 大 素数 p=4-1…l, -1， 其 中 的 相同 
1.4 签名 的 奇 素数 ,给 定 集合 e%4(O，z) 和 理想 类 群 以 及 在 刺 上 具 
一 个 签名 方案 S = (KeyGen,SignVerify) 由 如 下 三 个 算法 自 同 态 环 的 超 奇 异 椭圆 曲线 5,, 为 了 证 明 秘 密 a 的 知识 ， 证 
组 成 : 明 者 与 验证 者 进行 如 下 > 协议 操作 ， 如 图 2。 
。 KeyGen (1) : 密 钥 生 成 算法 输入 安全 参数 和 输出 一 密 钥 生成 : 选取 一 个 随机 的 同 源 [qd]: 互 一 互 ， 得 到 一 个 随 
对 公 / 私 钥 对 (pk,sk) 。 机 椭圆 曲线 互 。 公 钥 为 妃 ， 密 钥 为 4 。 
。Sign (sk,m) : 签名 算法 输入 私 钥 sk 和 消息 m, 输出 一 识别 协议 如 下 : 
个 签名 c。 承诺 : ”证 明 者 随机 选取 bes Zw ， 且 pza， 将 E=[b 瓦 发 
。Verify (pkms) : ”验证 算法 输入 公 钥 pk, 消息 m 和 签 ” 送 给 验证 者 。 
名 o, 输出 一 个 比特 , 1 代表 o 是 消息 m 的 一 个 合法 签名 ， 挑战 : 验证 者 检验 已 是 否 等 于 互 ， 若 相等 ， 则 拒绝 。 否 
0 代表 不 合法 。 则 随机 选取 挑战 csZvw ， 然 后 发 送 给 证 明 者 。 
定义 3 选择 消息 攻击 下 的 不 可 伪造 性 : EUF-CMA 安 响应 : 和 c+D 一 ee 
全 ,如 果 对 于 所 有 PPT 敌手 A， 有 Adv 操 SUD=PTA win] = negl 验证 : 验证 者 检查 是 否 四 五 =[c]E= 等 则 接受 ， 否 
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则 拒绝 。 的 零 知 识 证 明 协 议 应 


[5] 承诺 同 源 (P23V) 


[c] 挑战 同 源 (V3P) 


[7] 响应 同 源 (PV) 


[a] 密 钥 同 ; 


3 


图 1 识别 协议 


Fig.1 Identification protocol 


Prover Verifier 
bor ZND a 
E< [blEo 
E 
= 
1f E=E! 
ceRZN 
和 


r=c+b—-amodN 


一 -一 


Return [rE =[c]E 


图 2 零 知 识 证 明 
Fig.2 Zero knowledge proof 

2.2 安全 性 分 析 

定理 3 ”基于 同 源 的 识别 协议 是 一 个 完整 和 安全 的 7 协 
议 , 它 有 具有 完全 性 、 特 殊 稳 固 性 以 及 诚实 验证 者 零 知 识 的 。 

证 明 : 完全 性 : 假设 证 明 者 的 行为 总 是 诚实 的 ， 即 其 知 
道 一 个 秘密 五 =[ajBs 。 验 证 者 检查 [tJ&=[d]5= 包 是 否 成 立 ,因为 
[rj =[cj[bj[a] =[cjlwj[aj[-al]zo=[cJlb]&o=[cJE 这 证 明了 验证 者 
总 是 接受 诚实 生成 的 证 明 。 

特殊 稳固 性 : 给 定 两 个 具有 不 同 挑战 的 有 效 证 明 ， 即 
F=(Ecr) 和 z=(E,c,r), 其 中 czxc 那么 xz。 本 文 有 
[=[c]E 以 及 [r=[c]E ,因此 可 以 提取 (c-c)+(r-7") ,其 为 
GAIP 问题 的 一 个 解 。 与 此 同时 , 作 疾 证 明 者 不 能 通过 验证 ， 除 
非 它 成 功 猜测 挑战 c。 特 别 是 ， 由 于 挑战 空间 现在 是 Z,， 其 中 包 
含 N 个 元 素 , 所 以 该 协议 实现 了 LN 的 稳固 性 误差 。 

诚实 验证 者 零 知 识 : 为 了 模拟 证 明 ， 从 Z 中 随机 抽取 样 
本 c, 模拟 器 从 Zv 中 随机 抽取 r。 计 算 环 = 四 五 并 输出 证 明 
z=(E,c,r)。 根 据 决 策 GAIP 问题 ,模拟 器 生成 的 证 明 与 诚实 
执行 的 挑战 等 于 c 的 协议 证 明 是 无 法 区 分 的 ， 因 为 真实 证 明 
和 模拟 证 明 都 具有 x 以 及 束 = 加 总 的 均匀 随机 分 布 值 作为 响 
应 ， 因 此 该 认证 协议 诚实 验证 者 零 知 识 的 。 
2.3 签名 方案 


c=H(E| 


| Fiat-Shamir 变换 得 到 的 。 其 主要 思想 
是 用 临时 密 钥 E 以 及 消息 m 的 哈 希 值 来 替换 挑战 ce， 即 
Im) 。 签 名 G 由 wwE 组 成 ,验证 者 计算 c=H(Ellm), 并 
丛 查 是 否 中 已 =[c]2 。 为 了 减少 了 签名 的 大 小 ， 


下 面 详细 描述 了 基于 超 奇 异同 源 的 签名 方案 , 具体 如 下 : 


算法 1 KeyGen 


输入 : 初始 曲线 BE。 以 及 理想 类 群 的 阶 数 N 
输出 : 公 、 私 钥 对 (sk, pk) . 
a tp Dy 
E=[a]E 
pk=& 
return (sk=a,pk=E) 
算法 2 Sign 
输入 : 消息 m 以 及 私 钥 sk 


c=H(Ellm) 


r=cC+ 


b-amodN 


return o=(r,E) 


算法 3 Verify 


输入 : 


偷 出 : 


消息 m,， Eo ， 公 钥 pk 以 及 签名 6 
Valid 或 Invalid. 


(rE)€to 
c=H(E||m) 
If [] 互 =[c]E then 


1. return Valid 
2. Else 


3. return Invalid 


2.4 安全 性 分 析 


定理 4 在 随机 预言 模型 中 ， 上 述 基于 超 奇 异同 源 的 签 


殊 稳固 性 和 诚实 验证 者 零 知识 。 因 此 ， 定 型 


方案 具有 选择 消息 攻击 下 的 不 可 伪造 性 , 即 EUF-CMA 安全 。 
证 明 :” 如 上 一 节 所 示 , 该 身份 认 训 E 


FE 方 案 (5 协议 ) 


Ly 


E 1 意味 该 认证 


过 误 


案 是 安全 的 ,可 以 抵御 假冒 被 动 攻击 。 由 定理 2 可 知 ， 该 签 


名 方案 在 随机 预言 模型 中 是 EUF-CMA 安全 的 。 


2.5 对 比分 析 


CSI-Fish 中 描述 的 基础 身份 认证 协议 如 下 :证 明 者 为 了 


证 明 其 知道 一 个 群 元 素 a 使 得 =[aj56, 然后 证 明 者 随机 选取 
bsZv ， 并 将 = 区 画 发 送 给 验证 者 。 验 证 者 随机 选取 比特 cE 
{0 ， 然 后 发 送 给 证 明 者 。 当 c=0 时 , 证 明 者 回复 r=b， 验 证 
者 检查 是 否 £=[r]; 当 c=1 时 , 证 明 者 回复 r=b-amodW， 
验证 者 检查 EE 是 否 等 于 [r]5。 该 协议 的 挑战 空间 仅 为 二 进 


比特 cE 


为 了 降低 稳固 性 误差 , CSI-Fish 增加 了 挑战 空间 , 但 这 也 
增加 了 公 钥 的 大 小 。 其 方法 为 选择 一 个 正 整数 S, 密 钥 是 S-1 


[as] BE) 。 证 明 者 现 


{ 医 ， 公 钥 长 度 为 1 个 曲线 。 


维 的 向 量 ， 如 (as ， 公 钥 为 (EB,[a]， 
在 必须 i 


正明 它 知道 一 个 秘密 se2Zw, 使 得 瑟 =[s]& 出 现在 公 乌 
列表 中 的 某 对 椭圆 曲线 上 。 证 明 者 再 次 随机 选择 beZy， 并 通 
过 5=[5] 包 来 对 它 进行 承诺 。 验 订 


E 者 从 集合 CS+18- 了 中 均匀 


一 中 


吕 


地 采样 挑战 c, 证 明 者 用 r=b-a.modN 来 响应 。 验 证 检查 
E=[r]E.， 当 c 为 负 值 时 ， 有 .= 及 。CSI-FiSh 的 这 种 适应 方 


案 实现 了 1/28-!1 的 安全 稳固 性 ， 公 钥 长 度 为 S-1 个 曲线 。 
在 CSI-FiSh 的 基础 上 , 证 明 者 可 以 简单 地 模仿 基于 离散 
对 数 的 构造 ,因为 现在 可 以 在 环 Zv 中 工作 ， 
有 的 响应 ,来 表达 临时 密 钥 、 秘 密 密 铀 和 挑 


在 算法 1 到 算法 3 中 描述 了 基于 同 源 的 签名 方案 ， 该 方 
案 的 安全 性 基于 GAIP 困难 假设 。 它 是 通过 对 2.1 节 中 介绍 


主要 的 问题 是 验证 者 如 何 验证 这 个 组 合 是 正确 
虑 曲线 8* xE 时 ， 群 作用 只 人 允许 在 g 的 指数 上 增加 一 个 已 知 


姑 此 可 以 创建 特 


战 的 组 合 。 然 而 ， 


E 确 的 ， 因 为 当 考 
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的 常数 。 也 就 是 , 若 像 在 经 典 DH 中 进行 系数 乘 (r=b+ac) 的 
形式 , 则 群 作用 就 成 为 了 映射 ee 二 (sa*) ,但 在 环 甩 的 环境 下 
是 不 存在 这 种 类 似 映射 的 08。 
本 文 方案 将 挑战 c 视 作 一 个 同 源 ,， 这样 做 的 好 处 是 可 以 
将 临时 密 钥 5b 和 挑战 c 结合 到 一 起 , 变 为 b+c] 的 形式 ,避免 出 
疯 g (sf 的 情况 。 且 这 样 做 使 得 挑战 c 可 以 在 环 Zw 中 随机 
选取 ,也 就 使 得 挑战 空间 变 为 类 群 阶 数 N， 从 而 实现 了 LN 
的 安全 稳固 性 。 但 是 采用 这 种 方案 的 缺点 是 需要 多 计算 一 次 
同 源 , 即 束 =[clE ,这 增加 了 计算 时 间 , 提高 了 额外 计算 量 。 
本 文 的 方案 公 钥 长 度 为 1 个 椭圆 曲线 。 表 1、 表 2 分 别 给 


LH 
i 
日 


eu 


表 1 识别 协议 方案 比较 


Tab.1 Comparison of Identification protocol 


赵 兴 波 ， 等 : 基于 超 奇 异同 源 的 零 知 识 证 明 及 群 签名 方案 
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群 成 员 以 对 消息 m 进行 签名 ， 需 要 和 管理 员 GM 共同 


完成 


群 成 员 U; 随机 选择 加 < Zv ， 并 向 可 信 时 间 戳 机 构 请 求 

当前 时 间 Time, 然后 计算 乌 =[B]B，4=H,(ElElElm)， 

5;=ti+b 一 xX; modN， 和 群 成 员 U 将 (Time,E,m,Bi,s;) 发 送 给 GM。 
表 3 公 钥 列表 Lr 

Tab.3 Public Key list lp 


序号 。 群 成 员 成员 公 钥 - 始 时 间 终止 时 间 
i 万 五 Timesan; Timeoas 


口 
了 本 文 方案 与 CSI-Fish 中 的 识别 协议 与 签名 方案 的 比较 结果 。 


方案 公 钥 长 度 ”挑战 空间 “稳固 性 误差 同 源 次 数 


CSI-Fish 基础 方案 1 {0,1} 1/2 2 
CSI-Fish 适应 方案 S-1 {-S+1,S-1} 1/2S-1 2 


表 2 签名 方案 比较 


Tab. 2 Comparison of Signature Scheme 


方案 公 钥 长 度 签名 长 度 同 源 次 数 
CSI-Fish 签名 方案 S 2S 2S 
本 文 签名 方案 1 2 2 


3 ”基于 新 ZK 的 群 签名 方案 


在 群 签 名 中 , 为 了 代表 和 群 签名 ， 群 成 员 需 要 生成 一 个 
NIZK 来 证 明 他 有 一 个 有 效 的 密 钥 / 公 钥 对 。 签 名 包括 密 文 和 
证 明 ( 消 息肉 入 在 证 明 中 )。 为 了 验证 签名 ,验证 者 只 是 检查 证 
明 的 有 效 性 。 下 面 ， 本文 给 出 了 本 文 的 群 签名 方案 的 详细 描 
述 。 它 与 [19] 一 样 借助 状态 列表 的 方法 实现 群 签名 , [19] 中 采 
用 双 线 性 映射 来 实现 成 员 的 身份 认证 , 但 本 文采 用 上 面 提 出 
的 同 源 ZK 来 实现 。 用 同 源 来 实现 群 签名 方案 的 优点 是 密 钥 
短 、 抗 量子 攻击 等 , 但 缺点 是 计算 量 更 大 , 计算 时 间 较 长 。 
本 群 签名 方案 存在 公 钥 状态 列表 Lx 、 群 管理 员 GM、 群 
成 员 凡 以 及 可 信 时 间 戳 机 构 4 类 实体 。 其 中 ， 公 钥 状 态 列 表 
中 显示 当前 群 成 员 的 身份 信息 1D、 公 钥 E、 授 权 签 名 起 始 时 
间 Timesw 和 终止 时 间 Timeew ; 管理 员 GM 负责 群 成 员 的 加 入 、 
群 签名 的 追踪 以 及 实时 更 新 维护 ,并 向 所 有 群 成 员 广 播 最 新 
的 Lx ; 可 信 时 间 截 机 构 负 责 向 群 管理 员 及 群 成 员 提供 时 间 
截 服务 ; 群 成 员 U; 负责 完成 群 签名 。 
3.1 基于 超 奇 异同 源 的 群 签名 方案 
本 文 方案 包含 系统 建立 、 成 员 加 入 、 签 名 、 验 证 和 追踪 
五 个 步骤 。 

1) 系统 建立 

选取 大 素数 p=4-1…1l, -1, 其 中 下 是 小 的 不 同 的 奇 素数 ， 
给 定 集合 5%4(O,，z) 和 理想 类 群 以 及 在 名 上 具有 自 同 态 环 的 
超 奇 异 椭圆 曲线 £,，H:{017 Zry， 丁 :{0,1 >Zv 。 对 于 GM: 取 
XR Zn, 计算 Eon = 加 已， 居中 入 为 群 管理 员 私 钥 ， Eom 为 公 
钥 。 故 群 公共 参数 为 {p,N, 刀 ,HH,H,} ， 群 公 钥 为 Eow 。 

2) 成 员 加 入 

成 员 U; 想 要 加 入 ， 先 随 机 选取 Ni, ld; €-R Dy 计算 
E=[x]E ,hh=at+ Hi(ID)modN Em=[a]E。， 最 后 将 


a 


(1D,,Ep,E,h) 发 送 给 GM。 其 中 1D; 代表 成 员 U; 的 现实 身份 信息 。 


收 到 (ID,, En,E,h) 后 ， GM 先 验 证 等 式 [FH (1D)] Ew =[h]E 
是 否 成 立 , 确认 1D 的 有 效 性 。 若 成 立 , 计算 Eom=[xJE ,将 
EG: 发 送 给 Li 并 存储 万 、 五 。 其 中 ID、E 以 及 时 截 Time 
构成 公开 的 公 钥 状态 列表 Lox 见 表 3。 

成 员 U; 收 到 Eow 后 ,计算 Bow =[5]Eov 是 否 成 立 。 若 成 立 ， 
则 成 员 以 公 钥 为 互 ， 私 钥 为 乒 。 

3) 群 签名 过 程 


潍 


Pe 


主 : 公 钥 状态 列表 Lox 的 实时 维护 由 群 管理 员 GM 负 
每 当 群 成 员 加 入 或 撤销 ,都 要 实时 更 新 Lx ,并 向 所 有 群 成 
广播 最 新 的 Lx ， 同 时 将 QD,E,Timewan;， Timewji) 发 送 给 群 成 
员 U; ,作为 群 成 员 以 的 群 签名 证 书 。 设 计 一 个 公 钥 状态 列表 
Lxx 可 以 实现 动态 地 增加 和 撤销 群 成 员 ， 提 高 执行 效率 。 在 撤 
销 某 个 群 成 员 时 ， 只 需 将 Lox 中 群 成 员 对 应 的 终止 时 间 修 改 
为 当时 的 时 间 即 可 。 当 成 员 被 撤销 后 ， 它 不 可 以 生成 新 的 合 
法 群 签名 。 当 群 成 员 公 钥 有 效 时 ， 可 以 将 其 终止 时 间 设 置 为 
一 个 足够 大 的 值 。 

GM 接收 到 (EE,m,B,s;) 后 ,， 先 根据 匡 值 查找 Lx， 看 其 在 
前 时 间 是 否 为 有 效 值 ;车 有 效 , 则 检验 tt =H,(EBBll m)， 
[B=[s]5 是 否 成 立 。 若 成 立 , 则 管理 员 GM 计算 
B=[x+1] 。 并 将 Do =UD,m,Ei,ti,si) 存储 到 追踪 列表 ， 如 表 4。 
群 成 员 对 消息 m 的 签名 记 为 0;=(Bi,ti,s;) 。 
表 4 追踪 列表 Lyacx 
Tab.4 Track list lvoek 


~ 


I 


序号 。 群 成 员 TIDra 
7 ID. ID;,, =(1D;,m, E,,t,s;) 
4) 验证 


验证 者 接收 到 签名 后 ,检验 =[ 相 Bow 是 否 成 立 。 若 成 立 ， 
则 接受 6;=(Ei,tisi) 为 消息 m 的 群 签名 ; ”否则 ,不 接受 。 

5) 追踪 

关于 签名 0;=(Bi,tys;) 产 生 矛 盾 分 歧 时 ， 群 管理 员 可 以 通 
过 查询 追踪 列表 中 对 应 的 加 ;追踪 到 该 签名 的 签名 人 以 的 身 
份 , GM 根据 签名 追踪 列表 中 的 ID =( 码 ,m,Ei,ti,s;) 信息， 查 
找 相应 ID; 证 明 该 签名 确实 是 群 成 员 局 产生 的 。 
3.2 正确 性 分 析 

该 方案 中 的 系统 建立 存在 管理 员 与 成 员 双 向 验证 身份 的 


过 程 


1) 成 员 加 入 过 程 中 管理 员 与 成 员 互 验 身份 。 

管理 员 GM 接收 到 成 员 U; 送 的 (1D,Em,E,h) 后 ,检验 
Hi(ID;)]Ew =[H, (1D;)]la]Eo =[h]Eo 成 立 ， 则 证 明了 1D 的 有 效 性 。 
里 员 完 成 对 成 员 的 检验 后 ,计算 Bow =[xJB 并 将 其 发 送 给 
，U; 验证 Eom =[%]Eow 是 否 成 立 , 确认 GM 的 身份 。 

2) 签 名 过 程 中 验证 成 员 身 份 。 

群 管理 员 GM 和 群 中 成 员 U; 协作 生成 群 签名 。 在 GM 接 
收 到 (Time,6,m,B,s;) 后 ， 先 首先 检验 UV; 在 当前 时 间 内 是 否 
在 ， 若 成 立 ， 则 检验 #= 右 (EBilm)， 且 [B=[s]5 是 否 
成 立 ， 着 成立， 则 证 明 发 送 方 确 为 群 中 成 员 U; 。 

3) 签 名 的 正确 性 。 
验证 签名 中 Ei 的 有 效 性 ， 即 检验 Bi=[x+ 相 包 =[ 世 Bon 证 
明 群 管理 员 参 与 了 签名 过 程 。 
验证 #= 钙 (EBBilm) 的 正确 性 ， 即 验证 : 
t=H,(E ll Elm)=H,(E El]E lm) 
=H,(ElE lls: + -t]E lm) 
仅 需 验证 [8]=[s;+x -ti mod N]Eo 。 
丸 为 5s=t+b-xmodN ， 所 BD [5]B=[s;+% -tmodN]E= 


SS 于 
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[s —#t mod N]E, 


=[s; —t! mod N]E, 


通过 以 上 分 析 ， 证 


3.3 安全 性 分 析 


定理 5 


匿名 性 .对 于 任意 多 项 式 时 间 敌 手 A， 本 方案 在 


随机 预言 模型 下 是 匿名 的 。 


证 明 : 
Go 游戏 如 下 : 


1) 挑战 者 C 输入 安全 参数 p=4-4…/, 
的 不 同 的 奇 素数 ,给 定 集合 244(0，7) 和 理 
自 同 态 环 的 超 奇 异 椭圆 
Zz。 随机 选取 x 全 Zw, 计算 到 
参数 为 {p,N, 刀 ,可 ,三 } 以 及 群 

2) 敌手 A 输入 需 
Ui,U; s 和 给 挑战 者 C, 挑战 者 C 选取 b=0, 其 中 be{0D 
成 群 成 员 对 应 的 私 钥 气 ex Z，， 令 实际 群 成 员 本 =U 


在 马上 有 具有 


H,:{0,1} => 


签名 算法 。 


3) 挑战 者 C 运行 签名 算法 ,生成 签名 a 


送 给 敌手 A。 
4) 敌手 A 
Gi 游戏 如 下 


Gi 游戏 与 Co 游戏 的 过 程 类 似 ， 其 
生成 群 
成 员 必 对 应 的 私 钥 执行 签名 算法 ， 
F A。 政 手 A 收 到 签名 后 给 出 关 


取 b=1, 其 中 2 


用 群 


明了 本 文 所 提 方 案 的 正确 性 。 
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通过 挑战 者 C 和 敌手 A 之 间 的 游戏 完成 证 明 。 


收 到 签名 后 给 


e{0,]}, 


0 =(Bi,,si)， 并 发 送 给 敌手 
于 b 的 猜测 。 
下 面 说 明 假 设 敌 手 A 


Advy” =|Pr[b’ 


=b]-1/3|=z 是 可 忽略 的 ， 
成 员 Vi 的 私 钥 计 算 生成 的 群 签名 oi 


1, 其 中 江 是 小 
So 以 及 
曲线 EB，H:{01} 二 2 ， 
ou =[ 可 瓦 。 es 


公 钥 Eom 站 保留 私 钥 Xo 
签名 的 消息 m， 


两 个 群 


沪 


阐 虎 学 


=(E,,t,s;) ， 


并 发 


出 关于 b 的 猜测 。 


区 别 在 于 挑战 者 C 选 
成 员 Vi 对 应 的 私 钥 太 ex 24， 


匿名 性 攻击 游戏 的 优势 
只 需要 证 明 挑 战 者 C 用 
=(E,,t,s;) 与 用 群 成 员 Us, 


个 
顾 得 


的 私 钥 计 算 生 成 的 群 签名 aG =(Bi, 太 ,si) 是 不 可 区 分 的 即 可 。 


对 于 签名 oi， 


签名 过 程 易 知 ， 当 挑战 者 C ) 


成 员 吃 的 


私 钥 计 算 签 名 时 ， 均匀 抽样 b <-k Z ,t=H,(E lB lB lm), 
$i 一 让 十 及 一 大 modN ， 最 终生 成 
用 成 员 Vi, 的 私 钥 计 算 签 名 时 , 均匀 抽样 六 二 Zs， 并 最 终生 


成 签名 ar =(Es 


La 术 
he 


Oo =(E;,t,s; ) 是 不 可 区 分 的 o 


以 忽略 的 。 
综 上 所 述 ， 


本 文 提 出 的 


根据 决策 CSIDH， 


签名 =(Bi,t,s;); 当 挑 战 者 C 


签名 a =(E,ti,s;) 与 
因此 ,敌手 A 的 优势 是 Adv4” 可 


基于 超 奇 异同 源 的 群 签名 满足 随 
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HH 询问 : 接收 到 A 查询 输入 (mB) 时 , C 检查 列表 工 ， 


若 A 进 过 此 询问 ， 则 返 区 
将 (m, Ei,ti) 


给 A, 


返 世 


2) 私 钥 询 问 


A 可 以 选择 群 
输出 


钥 所 <x2Zv ， 并 


成 员 身 份 ID; 进行 私 钥 询问 , C 
bB (Upk,Usk )=(E,x%), 


相同 结果 。 否 
加 入 列表 十 。 


则 C 随机 选择 4 cr Zw 


随机 选取 私 
将 私 钥 返回 给 A， 


将 (1D,E,*) 加 入 列表 5。 


3) 签名 询 


问 
A 可 以 选择 群 成 员 身 份 D; ,提交 入 


问 , C 查询 列表 环 ， 上 天 
息 m 的 签名 结果 6， 


bE; | m) 》 


身份 


条 件 : 敌手 A 没有 询问 过 | 


等 签 消 息 m 的 签名 询 
找到 对 应 记录 并 用 签名 算法 计算 对 消 
随机 选取 br Zw 计算 4= 玉 (EE 


5;=t+b 一 x mod N ， 最 终生 成 签名 签名 0;=(E,,tl,s;)。 
Forgery: 敌手 A 向 挑战 者 C 提交 一 个 消息 mi ， 
为 ID? 以 及 伪造 的 群 签名 or =( 本 学) 且 满 足以 下 两 个 


群 成 员 


] 户 ID? 的 签名 私 钥 ; 敌手 A 没 


询 问 过 (Ei ,te ,si ) 的 签名 o 


如 果 签 名 oi =(Ei, 太 ,si) 是 合法 签名 ， 下面 将 展示 挑战 者 
C 如 何 利用 敌手 A 的 伪造 结果 求 得 理想 e。 其 为 GAIP 问题 
的 一 个 解 。 挑 战 者 C 查询 敌手 A 的 询问 列表 工 ， 若 不 存在 集 


合 (mi',Bi',f), 


若 4-#=0， 则 挑战 者 放弃 游戏 ,否则 可 
Ei=[t-# mod N]E 。 令 e=t-# modN，, 则 有 E; 
理想 e 是 GAIP 问题 的 一 个 解 。 


综 上 所 述 ， 如 果 GAIP 问题 


挑战 者 C 放弃 
7 =(Bi, 太 ,si) 是 合法 签名 ， 由 签名 的 验证 过 程 ， 本文 有 


为 


终止 游戏 。 和 否则 ， 因 


言 模 型 下 是 不 可 伪造 的 。 
讽 合谋 性 。 对 于 任意 多 项 式 时间 敌 手 A， 本 方案 
在 随机 预言 模型 下 是 抗 合谋 的 。 
抗 合谋 攻击 是 扫 
的 合法 群 


定理 7 


证 明 : 


产生 GM 追踪 不 到 
法 中 ， 管 理 员 GM 将 成 员 身 份 

曾 过 搜索 列表 
功 才 提供 签 


品 


名 时 先 
验证 成 ] 


难 性 ， 使 群 管理 


的 存储 信 


“i =[#] Eon 
|， =[t ]Eou 
以 计算 出 
=[e]E; =e Ei: 。 即 


是 困难 的 ， 


本 方案 在 随机 预 


剖 即 使 部 分 成 员 联 合 起 来 也 无 法 
签名 。 在 本 方案 的 群 成 员 加 入 算 
言 息 存储 在 群 成 员 列 表 中 ， 签 
息 验 证 成 员 的 身份 合法 性 ， 


名 帮助 ,与 群 成 员 合作 产生 签名 ,避免 了 群 
中 成 员 合谋 产生 无 法 追踪 的 签名 。 此 外 基于 GAIP 问题 的 困 
员 GM 无 法 获知 群 成 员 的 私 铀 ， 且 和 群 


成 员 之 


机 预言 模型 下 的 匿名 性 。 间 无 法 得 出 其 他 成 员 的 私 钥 。 最 后 ， 群 中 所 有 成 员 以 及 管理 
定理 6 不 可 伪造 性 。 如 果 GAIP 问题 是 困难 的 ,本文 提出 。 员 GM 的 私 钥 都 完全 保密 ， 且 互相 无 关 。 所 以 ， 该 方案 具有 
的 基于 超 奇 异同 源 的 群 签名 在 随机 预言 模型 下 是 不 可 伪造 的 。 讽 合谋 性 。 
证 明 : ”通过 挑战 者 C 和 敌手 A 之 间 的 游戏 完成 证 明 。 定理 8 可 追踪 性 .对 于 任意 多 项 式 时 间 敌 手 A， 本 方案 
腿 设 敌手 A 能 够 以 不 可 忽略 的 概率 8 成 功 伪造 签名 ， 下面 将 。 ”在 随机 预言 模型 下 是 可 追踪 的 。 
展示 挑战 者 C 如 何 利用 敌手 A 的 伪造 结果 找到 一 个 理想 e, 构 证 明 : 方案 的 可 追踪 性 是 指 管 理 员 可 以 通过 打开 签名 
造 一 个 GAIP 问题 的 解 。 敌 手 A 与 挑战 者 C 之 间 的 游戏 如 下 : ”来 找到 签名 者 的 真实 身份 。 本 方案 的 签名 由 管理 员 和 群 成 员 
1) Setup: 输入 安全 参数 ， 挑 战 者 C 进行 如 下 操作 : 共同 完成 ， 在 执行 签名 算法 时 ， 用 户 会 先 声称 自己 的 部 分 签 
挑战 者 C 输入 安全 参数 p=4-4…1, -1, 其 中 1 是 小 的 不 名 , 然后 将 其 发 送 给 GM，GM 收 到 签名 后 ， 二 光 | jj 户 Ui; 是 
同 的 奇 素数 ,集合 54(O，z) 和 理想 类 群 以 及 在 忽 上 具有 自 否 在 群 成 员 列表 中 ， 并 通过 判断 [四 B=[s]5B 是 否 成 立 来 验证 
同 态 环 的 超 奇 异 椭圆 曲线 E,，H:{01) >Zy，:{01} >Zy。 将 ”用户 签名 的 合法 性 ,在 通过 验证 之 后 ， 管理 员 才 会 计算 签名 。 
群 公 共 参 数 {p,N,,, 厂 )} 发 送 给 敌手 A。 司 时 将 其 存储 到 追踪 列表 里 。 因 此 可 以 看 a 管理 员 GM 只 
2)Query: 敌手 A 可 以 进行 多 项 式 次 访问 预言 机 并 进行 。” 需 通 过 搜索 追踪 列表 来 打开 签名 ， 即 可 查 出 签名 者 身份 。 
如 下 询问 ,挑战 者 C 作出 响应 ,挑战 者 C 分 别 建立 列表 此 外 ， 攻 击 者 无 法 在 没有 群 管 竺 员 的 情况 下 独自 生 合 
五 ,也 ,瑟瑟 来 存储 敌手 A 的 五 询问 、 可 询问 、 私 钥 询 问 及 签 。 法 签名 。 假设 敌手 A 具有 增加 和 撤销 群 成 员 的 权力 以 及 获得 
名 询问 ,， 所 有 列表 初始 化 为 空 。 设 在 进行 私 钥 及 签名 询问 之 。 了 群 私 钥 和 群 中 任意 成 员 的 私 钥 的 能 力 。 此 外 ，A 还 可 以 运行 
前 ， 已 进行 过 所 有 相关 的 Hash 询问 。 签名 预言 机 和 打开 预言 机 。 
1) 哈 希 询问 若 在 D; 下 对 于 消息 M，A 伪造 群 成 员 i 的 签名 ， 但 只 
已 询问 :A 可 以 选择 群 成 员 身 份 1D; 进行 询问 ,C 检 查 列表 ， ”要 群 管理 GM 是 安全 的 ，GM 的 私 钥 不 被 获取 ， 那 么 A 就 无 
若 A 进 过 此 询问 , 则 返回 相同 结果 。 否则 令 h=a+ 本 (ID)modN， ”法 伪造 出 不 能 被 GM 追踪 到 的 签名 。 因 为 群 签名 是 由 群 成 员 
将 有 返回 给 A, 并 将 (1D,h,a) 加 入 列表 。 和 群 管理 员 共同 合作 完成 的 。 U; 只 有 在 GM 协助 下 才 可 以 产 
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生 有 效 的 群 签名 , 而 GM 在 协助 0; 时 , 将 以 的 相关 身份 信 
息 记 录 在 追踪 列表 Lrrack 中 ， 此 外 因为 GAIP 问题 是 困难 的 ， 
是 计算 不 可 行 的 ， 那 么 即使 群 成 员 被 攻破 ， 只 要 GM 的 私 钥 
未 被 泄露 ， 签 名 仍然 不 可 伪造 ， 所 以 本 方案 满足 可 跟踪 性 。 
3.4 性 能 分 析 

将 本 文 群 签名 方案 与 文献 [19] 的 方案 进行 比较 。[19] 中 的 
方案 采用 双 线 性 映射 ， 实 现 群 管理 员 对 群 成 员 的 身份 认证 ， 
而 本 文采 用 的 方案 为 本 文 第 三 节 中 提出 的 基于 同 源 的 零 知 识 
身份 认证 。 且 同样 具有 以 下 优点 : 
1) 工作 效率 高 :本 文 提 出 的 签名 方案 中 群 签名 长 度 是 固 
定 不 变 的 , 不 随 群 中 成 员 个 数 的 变化 而 变化 , 且 签名 长 度 短 
公 钥 和 签名 长 度 均 与 群 成 员 的 数量 n 无 关 ， 所 以 整体 群 签名 
效率 较 高 。 本 文 方案 适合 大 群 组 的 群 签名 方案 。 

2) 动态 性 : 本 文 方案 设置 了 公 钥 状态 列表 ， 可 以 实现 动 
态 地 增加 和 撤销 群 成 员 ， 其 加 入 、 撤 销 代 价 较 小 ， 群 成 员 可 
以 随机 的 加 入 和 撤销 。 群 成 员 的 撤销 简单 快捷 ， 只 要 修改 群 
成 员 对 应 的 终止 时 间 便 能 实现 群 成 员 的 即时 撤销 。 

不 同 之 处 在 于 : 

1) 本 文 群 签名 方案 基于 同 源 的 GAIP 问题 ， 由 公 钥 求 出 私 
钥 是 困难 的 , 规避 了 被 撤销 成 员 联 合 得 出 其 他 成 员 私 钥 的 风险 
2) 本 文 群 签名 中 群 成 员 的 私 钥 ! 随机 选择 生成 ， 


计 


[m3 


习 
下 


此 可 以 抵挡 群 管理 员 的 陷害 攻击 。 
3) 本 文 群 签名 方案 包含 了 超 奇异 同 源 的 特殊 性 质 ， 如 


密 钥 短 、 抗 量子 攻击 等 , 但 计算 时 间 长 。 
4 ”结束 语 


本 文 在 Bullens 等 人 提出 的 CSI-Fish 的 基础 上 , 提出 了 
一 个 新 的 零 知 识 证 明 方 案 。 与 CSI-Fish 中 的 方案 相 比 ,该 方案 
个 公 钥 的 前 提 下 ,将 挑战 空间 提升 为 类 群 阶 数 N, 实 
现 了 更 强 的 稳固 性 。 同 时 本 文通 过 应 用 Fiat-Shamir 变换 , 在 


量子 随机 预言 模型 下 得 到 了 基于 超 奇 异同 源 的 签名 方案 以 及 
对 提出 的 签名 方案 进行 了 安全 性 证 明 。 
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